Trojan.PWS.UFR.3010 крадет пароли от прикладных программ

Компания "Доктор Веб" предупредила пользователей о массовой почтовой рассылке, с помощью которой распространяется вредоносная программа Trojan.PWS.UFR.3010. Троянец предназначен для кражи паролей от многих прикладных программ.

26-27 декабря 2012 года пользователи интернета стали получать электронные письма об оплате некоего счета, содержащие вложенный ZIP-архив. В тексте сообщений предлагается проверить банковские реквизиты платежного поручения.

При этом обращают на себя внимание сразу несколько фактов. Прежде всего, настораживают имя архива ([FILENAME].JPG.zip) и ошибки в тексте письма. Внутри архива располагается исполняемый файл, причем расширение вредоносного приложения (.exe) отделено от имени большим количеством точек с целью скрыть его в окне "Проводника". Подобный способ "спрятать" истинное расширение файла применяется злоумышленниками на протяжении многих лет и считается весьма тривиальным. Правда, предшественники справлялись со своей задачей гораздо успешнее: вместо точек они использовали большое количество пробелов, поэтому пользователям "Проводника Windows" становилось весьма непросто определить истинный тип файла. Следует отметить, что распространители троянца не потрудились даже заменить значок приложения на что-то нейтральное.

Сама вредоносная программа, детектируемая антивирусным ПО Dr.Web как Trojan.PWS.UFR.3010, создана с помощью широко известного конструктора утилит для кражи паролей UFR Stealer, свободно распространяемого на хакерских форумах как минимум с 2010 года. Полученное с помощью конструктора вредоносное приложение способно красть пароли от большинства популярных браузеров, почтовых клиентов, FTP-клиентов, программ мгновенного обмена сообщениями и других приложений (например, игры World of Tanks), а также отправлять данные с использованием протокола FTP на удаленный сервер или по электронной почте.

Анализ FTP-сервера злоумышленников показал, что в общей сложности заражению подверглось как минимум несколько сотен компьютеров, а за последние сутки - не менее 120 ПК.

©  @Astera